审先生 / 文；内审网 / 整编

昨天（4月12日）发现，一条“华为员工利用公司系统Bug越权访问机密数据被判刑”的新闻，突然登上微博、百度、微信搜一搜等各大热搜榜单！

华为员工、越权、机密数据，这一个个关键词，无一不激起了本人一探究竟的想法。

进一步检索查阅了解到，大致情况为：

易某，于2006年12月至2018年3月期间在华为技术有限公司（以下简称华为公司）任职。在其调离岗位后，未清理ERP登陆账号（相关权限），通过越权访问，或借用同事账号访问ERP系统，将所获得数据透露给华为供应商、上市公司金信诺（300252），以帮助该公司提高中标率，因此获利。最终易某被判犯非法获取计算机信息系统数据罪，判处有期徒刑一年，并处罚金人民币二万元；并向易某追缴违法所得共计人民币23437.6元，依法予以没收，上缴国库。

网上公开披露的裁定书如下：

截图来自:中国裁判文书网

公开信息显示，2017年以后，易某发现ERP系统中的POL采购小程序存在漏洞，能通过特定操作绕过权限控制查看系统数据，便以此方式获取线缆物料的价格信息。发现系统漏洞后，易某未向上反馈，反而利用该漏洞从事上述违法行为。

经查，

易某在2016年12月27日至2018年2月28日期间，曾多次通过邮箱“yihxxx@huawei.com”将华为公司多个供应商共1183个（剔除重复部分共918个）线缆类编码物料的采购价格发送给金信诺公司。

2012年至2017年6月30日期间，易某收受金信诺公司购物卡共计7000元、篮球鞋5双（价值共计人民币16437.6元）。

另查明，案发后，华为公司出具谅解书，表示对被告人易某侵害华为公司的行为予以谅解。

到此，不知您会有什么想法。作为一名老审计人，和圈内朋友们讨论了解到，一夜之间，不少公司老板、高层连夜要求IT、审计部门着手审查关键系统账号权限管控情况。

这个案件，并不复杂，从事过全面审计工作，或者参与过大中型企业是单位审计项目的伙伴，一定会清楚，账号、权限、日志管理是信息系统一般性控制（ITGC）的基本内容，IT审计亦必须关注。

大家时间宝贵，长话短说，基于该案件，从IT、数据控制与审计的角度，分享几点实务干货，供各单位高层及IT部门、审计部门同仁参考：

数字化时代，数据是组织最宝贵的资源和财富之一，部分数据事关企业命运，甚至生死，重视数据安全，就是关注组织前途与发展；

数据安全管理，不是喊喊口号就能做到的，需要周密的内部控制设计，严格的控制执行措施。包括但不限于：外购系统可靠性评估和认证；自研系统的充分独立测评；云端与本地数据存储安全保证及定期审查；账号密码策略与权限分配审查；数据接口与传输控制；日志记录与审阅等。

任何系统都不可能尽善尽美，建立发现bug、搜集bug、解决bug，定期进行系统升级迭代的机制，至关重要。

系统控制效率高，各单位尽可能的通过系统部署自动控制，但也要清醒的认识到，不可靠的系统控制，其风险远比人工控制风险更高，要知道，系统性错误会导致该环节出现全面的错误，所以，做好充分的系统测评，不能忽视；

账号权限授予管理，不是闹着玩，权限越大自然越方便，但风险自然越高，要遵循适当性的授权总原则，充分保证不相容职责适当分离；

账号权限审阅和审计，不要走过场，华为该案件再一次生动的证明，账号权限审阅和审计的价值所在。易某账号调岗时，账号权限未被及时修改，如果该系统账号定期审阅机制得到了严格执行，肯定能尽早发现其权限超过岗位职责的问题，如果IT审计[内审网注:各类审计方法案例报告模板关注公众号内审网即可查阅获取]测试关注到该系统账号，亦可发现（当然与审计方法有关，若不全查，就得靠运气）；

账号密码和使用权管理，不是儿戏，要知道，我们的账号一般基于该岗位职责而开通对应的权限，要严禁借用账号行为，借用账号会实质性构成不相容职责不分离、数据泄密风险；

日志记录与存储很重要，该控制更多的价值在于检查性，一旦出现问题，能够快速定位及追责，也能帮助精准堵上漏洞。

对于控制，要彻底改变“从来没出过问题，没啥关系”的思维，要意识到，控制更多的价值应该在于预防，过去没问题不代表未来没问题，很多情况下，正是因为控制存在，过去才没有出问题；

很多情况下，审计的价值是潜移默化、润物细无声的。审计发现问题是价值，预判风险更是价值所在。正是因为审计的存在，尽早地发现了风险，推动控制建立，化解了风险，预防了问题出现，所以，不要因为没啥大问题就认为“审计没有价值”，有时候，审计存在就是威慑，就是价值。

以上十点个人看法，抛砖引玉，希望对大家有所帮助，欢迎留言讨论。

【转载提示】转载内审网原创文章，请在页面顶部注明：本文转载自公众号:内审网（ID:neishenwang），并标识作者信息。

文章版权归作者所有，观点不代表内审网立场。部分图文源于网络，已标注作者信息，部分无法查明作者及首发来源，仅作同行学习研究之用，如涉版权，后台联系删除。